Deje de culpar a las personas por elegir contraseñas incorrectas. Es hora de que los sitios web hagan más para ayudar

Año tras año, se descubre que contraseñas como «123456», «qwerty» e incluso «contraseña» son el más popular opciones y 2021 no fue la excepción.

Estos informes generalmente vienen con el mismo consejo para los usuarios: cree mejores contraseñas para proteger su seguridad en línea. Aunque esto puede ser cierto, también es hora de darse cuenta de que años de promoción de este mensaje ha tenido poco o ningún efecto.

Para mejorar las cosas, creo que debemos dejar de culpar a la gente y, en cambio, poner la responsabilidad en los sitios web y servicios para fomentar y hacer cumplir una mejor «higiene cibernética».

Por supuesto, es fácil señalar con el dedo a los usuarios; en última instancia, son ellos quienes toman las malas decisiones de contraseña. Pero al mismo tiempo, es ahora bien conocido que la gente normalmente toma estas decisiones. Por lo tanto, es justo suponer que sin orientación o restricciones para evitar contraseñas débiles, es probable que continúen con los mismos hábitos.

No obstante, tenemos generaciones sucesivas de usuarios a quienes no se les dice cómo es una buena contraseña, ni se les impide tomar decisiones perezosas. No es difícil encontrar ejemplos de sitios web que acepten las peores contraseñas sin quejarse. Es igualmente fácil encontrar sitios que requieren que los usuarios creen contraseñas, pero no les brindan orientación para hacerlo. O sitios que ofrecerán comentarios de que la elección de la contraseña de un usuario es débil, pero que la permiten de todos modos.

Cómo pueden mejorar los proveedores

Si usted es responsable de ejecutar un sitio web o un servicio que acepte «123456», «qwerty» o «contraseña», es hora de reconsiderar su sistema. Si permite que los usuarios se salgan con la suya con malas decisiones, creerán que son aceptables y continuarán con esta mala práctica.

Por el contrario, al implementar protocolos más fuertes, puede ayudar a abordar el problema en su origen. Los sitios web deben tener procesos para filtrar contraseñas deficientes, una «lista negra» de opciones comunes.

Y si bien puede ser útil ofrecer orientación a los usuarios en el momento de la creación de la contraseña, los sitios deberían dejar de insistir en cosas que organizaciones autorizadas como el Centro Nacional de Seguridad Cibernética del Reino Unido y el Instituto Nacional de Estándares y Tecnología de EE. UU. ahora digo que no debería hacerse cumplir. Por ejemplo, desaconsejan el requisito de complejidad de la contraseña (como incluir letras mayúsculas y minúsculas, números y símbolos de puntuación).

Ambas organizaciones indican que aumentar la longitud de la contraseña es más importante que la complejidad. Esto se debe a que las contraseñas más largas son más resistentes a agrietamiento por fuerza bruta (donde los atacantes prueban todas las combinaciones de letras, números y símbolos para encontrar una coincidencia) y las contraseñas menos complejas pueden ser más fáciles de recordar.

Sin embargo, muchos sitios continúan exigiendo complejidad e imponen límites superiores de longitud, en el proceso a menudo bloquean las opciones de contraseña perfectamente razonables que nuestros navegadores y otras herramientas pueden generar automáticamente para nosotros.

Quizás se pregunte por qué esto es importante. Si la gente quiere elegir contraseñas débiles y ponerse en riesgo, ¿por qué debería convertirse en un problema del proveedor? Un argumento es que si un servicio se encarga de proteger los datos personales de los usuarios (como los proveedores GDPR) entonces no tiene mucho sentido permitir que los usuarios se vuelvan vulnerables eligiendo contraseñas débiles.

También vale la pena señalar que, en algunos casos, la contraseña débil de un usuario podría dar a un atacante un punto de apoyo en el sistema desde donde explotar otras debilidades y aumentar su acceso. Por lo tanto, podría decirse que al proveedor le conviene minimizar estas oportunidades y proteger los datos de otras personas en el proceso.

Las contraseñas no van a ninguna parte

Ahora estamos viendo un movimiento hacia autenticación sin contraseña, pero este nombre en sí mismo enfatiza el dominio de los métodos basados ​​en contraseñas. Su la muerte fue predicha hace más de 15 años y, sin embargo, todavía están aquí. Es seguro asumir que estarán con nosotros por algún tiempo todavía.

Así que tenemos una opción: asumir la responsabilidad colectiva de hacer lo básico correctamente, lo que implica la acción de los usuarios y proveedores, o mantener el esfuerzo colectivo para encogernos de hombros y quejarnos del comportamiento de los usuarios.

Para aquellos que proporcionan y operan sistemas, sitios y servicios basados ​​en contraseñas, se espera que la llamada a la acción sea clara: compruebe lo que permite su sitio y vea si debería funcionar mejor. Si deja pasar contraseñas débiles, cambie esto o, como mínimo, haga algo que intente disuadir a los usuarios de elegirlas.

Si está leyendo esto como usuario y está buscando un buen consejo sobre cómo crear mejores contraseñas, el Centro Nacional de Seguridad Cibernética del Reino Unido proporciona algunos Consejos útiles. Estos incluyen la combinación de tres palabras aleatorias para obtener contraseñas más largas pero más memorables, y guardar sus contraseñas de forma segura en su navegador para reducir aún más la carga de recordar contraseñas en varios sitios. Entonces, incluso si los proveedores no están haciendo lo suficiente, todavía hay algunas cosas que puede hacer para protegerse.

---

---

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.